AWS - EBS Snapshot Dump
Sprawdzanie migawki lokalnie
Uwaga. dsnap
nie pozwoli ci pobrać publicznych migawek. Aby to obejść, możesz skopiować migawkę do swojego osobistego konta i pobrać ją:
Aby uzyskać więcej informacji na temat tej techniki, sprawdź oryginalne badania na stronie https://rhinosecuritylabs.com/aws/exploring-aws-ebs-snapshots/
Możesz to zrobić za pomocą Pacu, korzystając z modułu ebs__download_snapshots
Sprawdzanie migawki w AWS
Zamontuj go w instancji EC2 pod Twoją kontrolą (musi być w tym samym regionie co kopia zapasowa):
Krok 1: Przejdź do EC2 -> Woluminy i utwórz nowy wolumin o preferowanej wielkości i typie.
Aby wykonać tę czynność, postępuj zgodnie z poniższymi poleceniami:
Utwórz wolumin EBS dołączony do instancji EC2.
Upewnij się, że wolumin EBS i instancja znajdują się w tej samej strefie.
Krok 2: Kliknij prawym przyciskiem na utworzonym woluminie i wybierz opcję "dołącz wolumin".
Krok 3: Wybierz instancję z pola tekstowego instancji.
Aby wykonać tę czynność, użyj poniższego polecenia:
Dołącz wolumin EBS.
Krok 4: Zaloguj się do instancji EC2 i wyświetl dostępne dyski za pomocą polecenia lsblk
.
Krok 5: Sprawdź, czy wolumin zawiera jakiekolwiek dane za pomocą polecenia sudo file -s /dev/xvdf
.
Jeśli wynik powyższego polecenia pokazuje "/dev/xvdf: dane", oznacza to, że wolumin jest pusty.
Krok 6: Sformatuj wolumin do systemu plików ext4 za pomocą polecenia sudo mkfs -t ext4 /dev/xvdf
. Alternatywnie, możesz również użyć formatu xfs za pomocą polecenia sudo mkfs -t xfs /dev/xvdf
. Zauważ, że powinieneś użyć albo ext4, albo xfs.
Krok 7: Utwórz katalog o wybranej nazwie, aby zamontować nowy wolumin ext4. Na przykład, możesz użyć nazwy "newvolume".
Aby wykonać tę czynność, użyj polecenia sudo mkdir /newvolume
.
Krok 8: Zamontuj wolumin do katalogu "newvolume" za pomocą polecenia sudo mount /dev/xvdf /newvolume/
.
Krok 9: Zmień katalog na katalog "newvolume" i sprawdź miejsce na dysku, aby zweryfikować zamontowanie woluminu.
Aby wykonać tę czynność, użyj poniższych poleceń:
Zmień katalog na
/newvolume
.Sprawdź miejsce na dysku za pomocą polecenia
df -h .
. Wynik tego polecenia powinien pokazać wolne miejsce w katalogu "newvolume".
Możesz to zrobić za pomocą Pacu, korzystając z modułu ebs__explore_snapshots
.
Sprawdzanie migawki w AWS (za pomocą wiersza poleceń)
Kopia cienia
Każdy użytkownik AWS posiadający uprawnienie EC2:CreateSnapshot
może ukraść hashe wszystkich użytkowników domenowych, tworząc zrzut Domain Controllera, montując go do kontrolowanej przez siebie instancji i eksportując plik rejestru NTDS.dit i SYSTEM do użycia z projektem secretsdump Impacket.
Możesz użyć tego narzędzia do zautomatyzowania ataku: https://github.com/Static-Flow/CloudCopy lub możesz skorzystać z jednej z poprzednich technik po utworzeniu zrzutu.
Referencje
Last updated